Cash App : une faille fait fuiter des données personnelles de 8,2 millions d’utilisateurs

Les données de 8,2 millions d'utilisateurs de Cash App dans la nature. Ne sont concernés que les utilisateurs américains ayant utilisé les fonctionnalités liées aux actions en bourse.

Nous apprenons aujourd’hui qu’une faille de sécurité impliquant un ancien employé impacte pas moins de 8,2 millions d’utilisateurs de l’application Cash App. Dans un rapport à la SEC, l’entreprise rapporte que, le 10 décembre dernier, un ex-employé a téléchargé un certain nombre de rapports contenant des informations personnelles sur les utilisateurs. Parmi les données ainsi exfiltrées, les noms complets, numéros de comptes de courtage, valeurs des portfolio et rapports d’activité.

Les données de 8,2 millions d’utilisateurs de Cash App dans la nature

Selon le dossier, seuls les utilisateurs qui ont utilisé la fonctionnalité de gestion des actions sont potentiellement concernés par cette faille. Bien que Cash App ait démarré son activité en tant qu’activité de paiement peer-to-peer, ses clients peuvent aussi l’utiliser pour acheter des actions et du Bitcoin. Aucune autre fonctionnalité de Cash App en dehors de celles liées aux actions ne sont pas concernées par cette faille, et seuls les utilisateurs américains sont impactés, toujours selon les déclarations de l’entreprise.

Ne sont concernés que les utilisateurs américains ayant utilisé les fonctionnalités liées aux actions en bourse

« Les rapports n’incluaient aucun identifiant ou mot passe ni numéro de sécurité sociale, date de naissance, informations de carte de paiement ou de compte bancaire, adresse ou tout autre données permettant d’identifier une personne. Il n’y avait non plus aucun code de sécurité, code d’accès ou mot de passe utilisé pour accéder aux comptes Cash App. Les autres produits et fonctionnalités Cash App (autres que l’activité des actions) et les clients en dehors des États-Unis ne sont pas impactés », peut-on notamment lire dans le dossier.

Une enquête formelle a été lancée pour faire la lumière sur cet incident, les autorités ont été prévenues. Les 8,2 millions d’utilisateurs concernés devraient aussi recevoir un email pour les informer de cet incident de sécurité.

Selon le dossier déposé auprès de la SEC, l’ex-employé avait eu accès aux informations des utilisateurs en tant qu’employé que Cash App. Mais au moment où la faille a eu lieu, cette personne avait déjà quitté l’entreprise depuis plusieurs mois. À l’heure actuelle, nul ne sait précisément comment un ancien employé a pu récupérer des informations aussi sensibles…